中間証明書の必要性、証明機関(認証局)の階層化の理由

証明機関

証明機関は階層構造を取ることができます。

ツリー構造的に管理ができ、整理がしやすいためです。フォルダと同じ原理です。

3 階層や 4 階層のパターンが多いですが、2 階層のパターンは商用ではあまり見られません

なぜでしょうか?

それは運用とセキュリティの観点からです。

実際にCAを構築する際の設計をしてみましょう。

階層構造の理由

顧客への証明書の発行は速やかに実施されるべきです。そのため、発行手続きもある程度簡素化しオンラインで発行ができるものがよいでしょう

しかしオンラインであるがゆえに、脆弱性を突かれ、証明書の利用が適正に行われない可能性もあります。その際にはその証明書を発行した CA を無効化する必要があります。

このとき、2 階層だった場合、「証明書を発行した上位CAの証明書=ルート証明書を無効化」することになりますが、それを実行した場合、当然発行した全ての証明書が無効になります。

この事態を避けるため、間に中間認証局を挟み、3 階層にします。

ルート認証局はオフラインで構築しておき、別途構築した複数の中間認証局へ、それぞれ中間証明書を発行します。

これでオンラインの中間認証局が 1 つ攻撃を受けた際、影響を抑えることができます。

デジタル証明書についての基礎知識については以下ページも併せてご参照下さい。

https://milestone-of-se.nesuke.com/sv-advanced/digicert/digital-certification-summary/

IT/インフラエンジニアの地位とスキル向上のために

関連記事

IT 技術の進化はとどまることを知りません。矢継ぎ早に新たな技術が出てきたり、数年前の技術が時代遅れになったりと、IT エンジニアは勉強し続ける運命のようです。 それをどう思うかはあなた次第。 ビジネスの基本は『付加価値を与える[…]

IMG
関連記事

nesuke の考える NW エンジニアの2つの道 ネットワークエンジニアには 2 つの道があります。 1 つはネットワーク構築一筋で、L4 までをひたすらきっちりと構築していく道。 もう 1 つはネットワークを軸として深堀し[…]

IMG